Le Dow Jones dévoile des millions de données d’utilisateurs suite à une configuration AWS incorrecte

© REUTERS

L’index boursier Dow Jones a par mégarde rendu partiellement publiques les données de plus de deux millions d’utilisateurs. Des noms, adresses et numéros de cartes de crédit pouvaient en partie être téléchargés.

Il s’agit en l’occurrence d’une des erreurs de sécurité les plus banales qui soient: le Dow Jones conserve en fait plusieurs bases de données dans ce qu’on appelle un conteneur Amazon Web Services S3, mais qui était configuré de telle sorte que n’importe quel utilisateur AWS puisse télécharger des données comme s’il disposait d’un lien correct. Il en est résulté qu’un million de personnes environ pouvaient avec ce genre de compte (susceptible d’être créé gratuitement) télécharger des données.

La fuite avait été découverte le 30 mai par Chris Vickery de l’entreprise de sécurité UpGuard. L’homme avait pu télécharger des données et en informa ensuite Dow Jones, avant de publier le problème.

2 à 4 millions d’utilisateurs

Selon Dow Jones, il est question de 2,2 millions de clients minimum. UpGuard, qui a visionné les données, pense cependant qu’ils pourraient être quatre millions. On ne sait de toute façon pas si des personnes mal intentionnées ont effectivement déjà découvert la faille et en ont abusé.

Parmi les clients, on trouve aussi des abonnés au Wall Street Journal, ainsi que 1,6 million de points environ de la base de données ‘Dow Jones Risk and Compliance’. Il s’agit là d’un service d’abonnés basé sur un programme de ‘corporate intelligence’, que des institutions financières utilisent pour une mise en conformité en matière de pratiques d’anti-blanchiment.

Base déficiente

L’incident est d’autant plus étonnant qu’il s’agit d’une part de données sensibles liées au monde de la finance. Par ailleurs, il n’est pas nécessairement question d’une faille dans la technologie d’Amazon, mais bien d’une erreur de configuration. C’est un peu comme si vous fermiez la porte de votre habitation, mais sans la verrouiller.

John Gunn, CMO de l’entreprise de sécurité Vasco, indique qu’une solide base de sécurité s’avère cruciale: “Dans le secteur de la sécurité, on parle souvent d’attaques sophistiquées et de la façon dont on peut se défendre. Mais a contrario, on observe qu’il y a souvent un défaut à la base des pratiques de sécurité. C’est ainsi qu’une configuration incorrecte, une piètre gestion quant à savoir qui a accès, le non recours à l’authentification multi-facteur et aux tests de sécurité représentent les risques les plus importants.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire